استانداردهای مختلفی در زمینه فناوري اطلاعات و ارتباطات وجود دارد که منجر به تامين و بهبود سطح امنیت اطلاعات می شوند، مانند: PRINCE2, OPM3, CMMI, P-CMM, PMMM, ISO27001, PCI DSS, COSO, SOA, ITIL و COBIT. اما بعضی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمان ها قرار نگرفته است. CCSC در سال ۱۹۸۹ اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code Of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان «مستندات راهبری PD003» در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال ۱۹۹۵ با عنوان استاندارد ISO ثبت شد.
با توجه به تجارب گذشته این گروه در گردآوری سناد و قوانین و مستندات امنیتی استاندارد امنیتی BS7799 توسط این گروه منتشر گردید و در فوریه ۱۹۹۸ قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا Information Security Management System که حالا دیگر آن را به اختصار ISMS می نامند منتشر شد.
طی سال های ۱۹۹۹ تا ۲۰۰۲ بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال ۲۰۰۰ با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.
در اینجا به بررسی چند استاندارد برتر دنیا می پردازیم که به طور گسترده در زمینه چارچوب، ساختار و امنیت فناوري اطلاعات مورد استفاده قرار می گیرند.
استاندارد BS7799
استاندارد BS7799 اولين استاندارد مديريت امنيت است که توسط موسسه استاندارد انگليس ارائه شده است. نسخه اول اين استاندارد (BS7799-1) در سال ۱۹۹۵ و در يک بخش و با عنوانBS7799-1: Code of Practice for Information Security Management منتشر گرديد. و نسخه دوم آن (BS7799-2) که در سال ۱۹۹۹ ارائه شد، علاوه بر تغيير نسبت به نسخه اول، متشکل از دو بخش مستقل ارائه گرديد. هدف از تدوين اين استاندارد ارائه پيشنهاداتي در زمينه مديريت امنيت اطلاعات براي کساني است که مسئول طراحي، پياده سازي يا پشتيباني مسائل امنيتي در يک سازمان مي باشند. اين استاندارد متشکل از ۳۵ هدف امنيتي و ۱۲۷ اقدام بازدارنده براي تامين اهداف تعيين شده ميباشد که جزئيات و چگونگيها را مطرح نمي کند بلکه سرفصلها و موضوعات کلي را بيان مي کند. طراحان استاندارد BS7799 اعتقاد دارند که در تدوين اين استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد ويا نياز به کنترلهاي بيشتري باشد که اين استاندارد، آنها را پوشش نداده است. در سال ۲۰۰۰ ميلادي بخش اول استاندارد BS7799-2 بدون هيچگونه تغييري توسط موسسه بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر گرديد. وشامل سر فصل هاي ذيل است:
- تدوين سياست امنيتي سازمان
- تشکيلات امنيتي
- طبقه بندي سرمايه ها و تعيين کنترلهاي لازم
- امنيت پرسنلي
- امنيت فيزيکي و پيراموني
- مديريت ارتباطات و بهره برداري
- کنترل دسترسي
- توسعه و پشتيباني سيستم ها
- مديريت تداوم فعاليت
- سازگاري
ایزو ۱۷۷۹۹
ایزو ۱۷۷۹۹ یک استاندارد مدیریت امنیت اطلاعات شناخته شده است که اولین بار توسط سازمان بین المللی استانداردسازی یا ISO در دسامبر ۲۰۰۰ منتشر شد. ایزو ۱۷۷۹۹ در سطح بالایی بوده، بسیار گسترده است و ماهیتی مفهومی دارد. این روش را می توان روی انواع مختلفی از مشاغل و کاربردها اجرا کرد. همچنین این رویکرد مسئله استاندارد را به مسئله ای بحث برانگیز در میان کسانی که معتقدند استاندارد باید دقیق تر شود تبدیل کرده است. با وجود این ، ایزو ۱۷۷۹۹ در زمینه ای که بطور کلی توسط “دستورالعملها” و “بهترین کارها” اداره می شود تنها “استاندارد” ی است که به مدیریت امنیت اطلاعات اختصاص داده شده است.
ایزو ۱۷۷۹۹ اطلاعات را بعنوان سرمایه ای تعریف می کند که می تواند در اشکال مختلف وجود داشته باشد و برای یک سازمان ارزشمند است. هدف امنیت اطلاعات حفاظت مناسب از این دارایی است تا تداوم آن شغل را بدین ترتیب تضمین کرده و خطرات را به حداقل رسانده و بازگشت سرمایه گذاری ها را به بیشترین مقدار ممکن افزایش دهد. طبق تعریف ایزو ۱۷۷۹۹ مشخصه امنیت اطلاعات حفاظت از موارد زیر است:
- اطمینان– تضمین می کند که اطلاعات تنها برای اشخاص مجاز قابل دسترسی است.
- یکپارچگی – حفاظت از دقت و تکمیل بودن اطلاعات و روش های پردازش
- قابلیت دسترسی – تضمین می کند که کاربران مجاز می توانند به اطلاعات و دارایی های مرتبط در زمان نیاز دسترسی داشته باشند. ایزو ۱۷۷۹۹ تنها انتخاب و مدیریت کنترلهای امنیت اطلاعات را در برمی گیرد
ITIL
ITIL یک چارچوب عمومی است که بر پایه تجارب موفق در مدیریت سرویس های IT در سازمان های دولتی و خصوص در سطح بین المللی به وجود آمده است. ITIL در اصل یک استاندارد نیست بلکه چارچوبی است با نگاهی نوین برای بهبود ارائه و پشتیبانی خدمات فناوری اطلاعات که امروزه از سوی سازمانهای ارائه دهنده خدمات فناوری اطلاعات بسیار مورد توجه قرار گرفته است. هدف اولیه این چارچوب این است که مطمئن شود سرویس های IT با نیازهای کسب و کار سازمان منطبق است و در زمانی که کسب و کار به آن نیاز دارد پاسخگوی این نیاز است.
ITIL به عنوان مجموعه ای از کتابها به وجود آمده و بر پایه مدل دمینگ و چرخه PDCA ایجاد شده، نسخه ی فعلی ITIL که مورد استفاده است، نسخه سوم می باشد که ۵ بخش اصلی را در بر دارد: استراتژی خدمات، طراحی خدمات، تحویل خدمات، اداره خدمات، بهینه سازی پیوسته خدمات.
همانطور که بیان شد، ITIL بیشتر در شرکت هایی که کسب و کار IT دارند مورد توجه قرار گرفته است.
ISO27001
استاندارد بین المللی ISO27001 الزامات ایجاد، پیاده سازی، پایش، بازنگری، نگهداری و توسعه ISMS در سازمان را مشخص می کند. این استاندارد برای ضمانت انتخاب کنترلهای امنیتی به جا و مناسب برای حفاظت از دارایی های اطلاعاتی، طراحی شده است. زمانی که یک سازمان موفق به دریافت گواهینامه مربوط به استاندارد ISO27001 می گردد، به این معنی ست که آن سازمان توانسته امنیت را در زمینه اطلاعات خود مطابق با بهترین روش های ممکن مدیریت نماید. این استاندارد (بخصوص نسخه ۲۰۱۳ آن) برای پیاده سازی در انواع سازمان های دولتی، خصوصی، بزرگ و یا کوچک مناسب است. در ایران با توجه به تصویب سند افتا توسط دولت و الزامات سازمان هاي بالادستي در صنعت هاي مختلف، کلیه سازمان ها و نهادهای دولتی، ملزم به پیاده سازی ISMS گرديده و اکثر این سازمان ها به پیاده سازی الزامات استاندارد ISO27001 رو آوردند.
علاوه بر این که استاندارد ISO27001 خود حاوی کنترل های امنیتی جامعی جهت تضمین امنیت سازمان است، همچنین می تواند به عنوان یک بستر مدیریتی جهت پیاده سازی کنترل های امنیتی بیشتری که در استانداردهای دیگر وجود دارد، مورد استفاده قرار گیرد.
PCI DSS
استاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت اطلاعات جهانی است که توسط انجمن استانداردهای امنیت صنعت کارت پرداخت برای افزایش امنیت کارت های اعتباری ایجاد شد. این استاندارد اختصاصاً برای سازمان هایی مفید است که در زمینه کارت های اعتباری، کیف الکترونیک، ATM، POS و… اطلاعات مشتریان را نگهداری، پردازش یا مبادله می کنند.
اعتبار این استاندارد به صورت سالیانه بررسی می شود. برای سازمان های بزرگ بررسی انطباق توسط یک ارزیاب مستقل انجام می شود اما سازمان های کوچکتر می توانند انطباق خود را توسط پرسشنامه خود ارزیابی بررسی نمایند.
COBIT
COBIT یک گواهینامه است که توسط ISACA و موسسه مدیریت IT (ITGI) در سال ۱۹۹۶ به وجود آمد. این استاندارد چارچوبی برای مدیریت فناوري اطلاعات است. این استاندارد با رویکردی فرآیندگرا در ۴ دامنه و ۳۴ فرآیند و مجموعه ای از ۳۱۸ هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعه ای از سنجه ها، شاخص ها، فرآیندها و بهترين¬تجارب را برای کمک به مدیران، ممیزان و کاربران IT ارائه می-دهد.COBIT دارای پنج حوزه تمرکز بر مدیریت فناوري اطلاعات است: تنظیم استراتژیک، تحویل ارزش، مدیریت منابع، مدیریت ریسک، اندازه¬گیری کارایی . پیاده سازی و بکارگیری COBIT در سازمان¬ها، برای مدیران چارچوبی را فراهم می آورد تا به کمک آن بتوانند برنامه استراتژیک IT، معماری اطلاعاتی، نرم¬افزارها و سخت افزارهای مورد نیاز IT و کنترل عملکرد سیستم های IT سازمان خود را طراحی نمایند و با کمک این ابزارها به تصمیم¬گیری و سرمایه گذاری¬های مرتبط با فناوری اطلاعات بپردازند.
ISMS
شامل مجموعه ای از خط مشی ها به منظور فراهم نمودن مدلی برای ایجاد، توسعه و نگهداری امنیت منابع اطلاعاتي از جمله دارايي هاي نرم افزاري و سخت افزاري مي باشد. این خط مشی ها به منزله راه های امنی هستند که از طریق آنها منابع اطلاعاتي می توانند مورد استفاده قرار بگیرند.
همانطور که در شکل نیز مشاهده می نمایید، امنیت اطلاعات که به عنوان جزئی از حاکمیت فن آوری اطلاعات در نظر گرفته می شود، بیشتر توسط ISO27001 پوشش داده شده، در صورتی که ITIL و COBIT سهم بیشتری در خصوص حاکمیت فناوری اطلاعات دارا می باشند، گستردگی این استانداردها در شکل مشخص شده، نواحی مشترک، نشان دهنده کنترل های امنیتی و حوزه هایی هستند که استانداردها با یکدیگر همپوشانی دارند، همچنین همانطور که مشاهده می شود PCI DSS همپوشانی زیادی با ISO27001 دارد با این تفاوت که PCI DSS در حوزه امنیت کارت فعالیت می کند، این شکل بیانگر این موضوع است که پیاده سازی ISO27001 علاوه بر اینکه به تنهایی امنیت اطلاعات را در سازمان به صورت عمومی تضمین می نماید، می تواند به عنوان بستری مناسب جهت پیاده سازی استانداردهای امنیتی دیگر متناسب با حوزه کاری هر سازمانی مورد استفاده قرار گیرد.
هر استاندارد به نوعی نقش خود را در پیاده سازی امنيت اطلاعات ایفا می کند، به عنوان مثال ISO27001 بر سیستم مدیریت امنیت اطلاعات، PCIDSS بر امنیت اطلاعات مرتبط با تراکنش کسب و کار و کارت هوشمند، ITIL و COBIT بر امنیت اطلاعات و ارتباطشان با مدیریت پروژه و حاکميت فناوري اطلاعات تمرکز دارند. به طور کلی استقبال عمومی در استفاده جهانی از استانداردها، نشان می دهد که ISO27001 برتر از سه استاندارد دیگر در سطح جهانی ظاهر شده است به خصوص براي ايجاد سيستم مديريتي امنيت اطلاعات، این استاندارد نسبت به دیگر استانداردها راحت تر پیاده سازی می شود و توسط ذینفعان (مدیران ارشد، کارکنان، تأمین کنندگان، مشتریان و قانون گذاران) به خوبی قابل درک است.
فهرستي از عناوين سايراستانداردها:
ISO/IEC 27000 سیستمهای مدیریت امنیت اطلاعات – مرور کلی و واژگان
ISO/IEC 27001 سیستمهای مدیریت امنیت اطلاعات – نیازمندی ها و مشخصات
ISO/IEC 27002 آیین نامه مدیریت امنیت اطلاعات
ISO/IEC 27003 راهنمای پیاده سازی سیستمهای مدیریت امنیت اطلاعات
ISO/IEC 27004 سیستمهای مدیریت امنیت اطلاعات – شاخصها و سنجشها
ISO/IEC 27005 مدیریت مخاطرات امنیتی اطلاعات
ISO/IEC 27006 نیازمندی های سازمانهای ممیزی و اعتبارسنجی سیستمهای مدیریت امنیت اطلاعات
ISO/IEC 27011 راهنماهای مدیریت امنیت اطلاعات برای سازمانهای ارتباطات [راه دور]، مبتنی بر ISO/IEC27002
ISO/IEC 27031 راهنماهایی برای مهیا بودن فناوری اطلاعات و ارتباطات برای تداوم کسب و کار
ISO/IEC 27033-1 مرور کلی و مفاهیم امنیت شبکه
ISO/IEC 27035 مدیریت اتفاقات امنیتی
ISO 27799 انفورماتیک سلامت: مدیریت امنیت اطلاعات در بهداشت و درمان، با استفاده از ISO/IEC 27002
ISO/IEC ۲۷۰۰۷ راهنماهایی برای ممیزی سیستمهای مدیریت امنیت اطلاعات (با تمرکز بر سیستمهای مدیریتی(
ISO/IEC 27008 راهنمای ممیزی کنندده های کنترلهای سیتمهای مدیریت امنیت اطلاعات (با تمرکز بر کنترل های امنیت اطلاعات)
ISO/IEC 27013 راهنماهای پیاده سازی یکپارچه ISO/IEc 20000-1 و ISO/IEC 27001
ISO/IEC 27014 چهارچوب حاکمیت امنیت اطلاعات
ISO/IEC 27015 راهنماهای مدیریت امنیت اطلاعات برای بخشهای مالی و بیمه
ISO/IEC 27032 راهنماهایی برای امنیت در اینترنت
ISO/IEC 27033 امنیت شبکه های کامپیوتری، یک استاندارد چند قسمتی، مبتنی بر ISO/IEC 18028
ISO/IEC 27034 راهنمای امنیت برنامه های کاربردی
ISO/IEC 27036 راهنماهایی برای امنیت در برون سپاری پروژه ها
ISO/IEC 27037 راهنماهایی برای شناسایی، جمع آوری و یا بدست آوردن و نگهداری مدارک دیجیتال
نویسنده: دکتر امین گلستانی، مدیر کل نظام مدیریت امنیت اطلاعات